WSUS abgekündigt – ein Nachfolger wird benötigt?

Microsoft haben WSUS abgekündigt (siehe https://learn.microsoft.com/de-de/windows-server/get-started/removed-deprecated-features-windows-server?tabs=ws25 ) und nun stellt sich die Frage, wie man mit dem Thema Qualitätssicherung bei Windows Updates und ferner mit der Instandhaltung der Windows Systeme umgeht.

Ein Ruf in die Runde meiner Marktbegleiter ergab erstaunliche Erkenntnisse.

Man sieht bei viele anderen It Dienstleistern nicht die Notwendigkeit den Kunden darauf hinzuweisen, das es sinnvoll wäre, sicher zu stellen, das die Windows Systeme zumindest einigermaßen auf einem aktuellen Stand sind.

Vielmehr war eine verbreitete Meinung, das man getrost per Gruppenrichtlinie die Systeme auf „automatisch Updates“ schalten wird und das die Updates auch an „unseren“ PC’s funktionieren.

Ich sehe ein, das der Fachmann fast automatisch auf einen Fehler bei den Updates reagieren kann und wird, aber der Endbenutzer?
Hier ist meine Erfahrung, dass eine Fehlermeldung, die einen bürokratischen Akt in Gang setzt (Support Anrufen oder Ticket eröffnen oder sogar beides) lieber weg geklickt wird.

Ein gruseliger Umgang mit der Sicherheit, zumal es aktuell ständig kracht. Ich stelle mit vor, da treten einige „Drive by Infektions“ auf und einige Firmen betreiben Botnetzwerke, ohne es zu wissen.

Wir haben uns daher entschieden, die aktuell dusiktierten Ersatzlösuung für WSUS im KMU Bereich zu testen und möchten die Ergebnisse hier veröffentlichen. Gerne verkaufen wir diese auch als Paket mit einer Implementation.

Testsystem:

1xDC mit AD-DS, DHCP und DNS; 1xSQL Server; 1 File und Print Server; 9 Windows 11 Clients und ein Windows 10 Client

1. OPSI
   • Pro: OpenSource 
   • Contra:
     • Das Setup war recht zeitintensiv und hatte einige Fallstricke
     • Es wird eine Linux VM benötigt.
   • Kosten 360 Euro / Jahr für Windows Updates und 5 Euro pro Jahr pro PC
   • Rolloutdauer: Je nach Clients und Struktur (eher mehr Zeit einplanen) etwa 20 Stunden
   • Monatlicher Zeitaufwand für Betreuung: Schwer einzuschätzen
2. Patch Manager
   • Pro:
     • Preisgünstig
     • Wenig Systemlast
     • Eigene Datenbank
   • Contra:
     • Sicherheit. Die Systeme des Herstellers stehen in Indien und nicht in der EU. Man hat keine Kontrolle über die Updates, da diese nicht von den Softwareherstellern direkt, sondern direkt von der Firma „Patch Manager“ aus Indien, über deren Server kommen
     • Das Herunterladen per Patches war undurchsichtig und es galang mit nicht den Platzbedarf im Zaum zu halten
   • Kosten: 300 Euro (bis 50 Clients) oder 600 Euro / pro Jahr (bis 100 Clients)
   • Rolloutdauer ca. 10 Stunden
   • Monatlicher Zeitaufwand für Betreuung / Verwaltung: 2 bis 6 Stunden (je nach Anzahl der Systeme)
3. GFI LanGuard
   • Pro:
     • Guter Support, gute Betreuung durch Hersteller, großer Funktionsumfang (auch Patches für Produkte anderer Hersteller)
     • Gefahreneinschätzung zu Sicherheitseinstellungen
     • Softwareverteilung
     • Inventarisierung
   • Contra:
     • Teurer – Kosten mit 780 Euro pro Jahr (50 Geräte, 10 Geräte hinzufügen kostet 210 Euro pro Jahr, alternativ 100 Geräte 1400 Euro)
     • Benötigt einen SQL Express
   • Rolloutdauer ca. 16 Stunden
   • Monatlicher Zeitaufwand durch Betreuung / Verwaltung: 6 Stunden (je nach Anzahl der Systeme)
4. Verzicht auf Patch Management:
   • Pro:
     • Kostet nichts
     • Keine Kosten durch IT Dienstleister
   • Contra
     • Die Clients sind nicht überwacht, Updates und Patches sind in einem unbekannten Zustand
     • Sicherheitsprobleme werden nicht erkannt
     • Schädlinge, wie Botnetzwerke können sich einisten. Es kann sein, das die eigenen Systeme verwendet werden um andere Systeme anzugreifen (Mithaftung durch Fahrläßigkeit)
     • Daten können abfliesen
   • Kosten: Nur die Sicherheit der eigenen Systeme und Daten (wenn man es eng sieht)
   • Rolloutdauer: Kann man per GPO oder Regsistry Key umsetzen
   • Monatlicher Zeitaufwand: Schwierig..
     • bei Infektionen kann dieser sehr hoch werden
     • bei Sonstiges Effekten eher niedrig
5. Intune von Microsoft
   • Pro:
     • Updates direkt vom Hersteller
     • Arbeitet wie ein MDM und bringt noch ein paar mehr Funktionen
   • Contra
     • Teuer
     • Mirosoft ist änderungsfreudig, Neben den Scans muss man auch beobachten, ob Microsoft im Maschinenraum etwas ändert (Zertifikate, Verschlüsslung). Dsa kostet mehr Zeit
     • Implementation von Systemen, die zu einer lokalen AD gehören frickelig
   • Kosten: Intune Plan 1 als Einzellizenz 7,50 Euro pro Nutzer und Monat, 5 Euro pro Server pro Monat
   • Monatlicher Zeitaufwand: Niedrig, wenn Microsoft nicht am System herumschraubt